このページでは、サーバーレス VPC アクセスを使用して App Engine スタンダード環境アプリを VPC ネットワークに直接接続し、Compute Engine VM インスタンス、Memorystore インスタンスなどの内部 IP アドレスを持つリソースにアクセスできるようにする方法について説明します。
始める前に
プロジェクトに VPC ネットワークがない場合は作成します。
共有 VPC を使用する場合は、共有 VPC ネットワークへの接続をご覧ください。
Google Cloud コンソールで、プロジェクトのサーバーレス VPC アクセス API が有効になっていることを確認します。
サーバーレス VPC アクセス コネクタを作成する
公共のインターネットを使用せずに VPC ネットワークにリクエストを送信して対応するレスポンスを受信する場合は、サーバーレス VPC アクセス コネクタを使用できます。
コネクタは、Google Cloud コンソール、Google Cloud CLI、または Terraform を使用して作成できます。
コンソール
サーバーレス VPC アクセスの概要ページに移動します。
[コネクタを作成] をクリックします。
[名前] フィールドに、コネクタの名前を入力します。これは Compute Engine の命名規則に従う必要がありますが、ハイフン(-)は 2 文字とカウントし、21 文字未満にする必要があります。
[リージョン] フィールドで、コネクタのリージョンを選択します。これは、サーバーレス サービスのリージョンと一致する必要があります。
サービスまたはジョブが
us-central
またはeurope-west
リージョンにある場合は、us-central1
またはeurope-west1
を使用します。[ネットワーク] フィールドで、コネクタを接続する VPC ネットワークを選択します。
[サブネット] メニューをクリックします。コネクタごとに、コネクタ インスタンスを配置する独自の
/28
サブネットが必要です。サブネットは、VM、Private Service Connect、ロードバランサなどの他のリソースでは使用できません。独自のサブネットを必要とする共有 VPC を使用している場合は、未使用の
/28
サブネットを選択します。サブネットが Private Service Connect や Cloud Load Balancing で使用されていないことを確認するには、gcloud CLI で次のコマンドを実行して、サブネットのpurpose
がPRIVATE
であることを確認します。gcloud compute networks subnets describe SUBNET
次のように置き換えます。- SUBNET: サブネットの名前
共有 VPC を使用していない場合は、コネクタのサブネットを作成するか、メニューから [カスタム IP 範囲] を選択してコネクタにサブネットを作成します。
[IP 範囲] フィールドに、予約されていない CIDR
/28
の内部 IP 範囲の最初のアドレスを入力します。この IP 範囲は、VPC ネットワーク内の既存の IP アドレス予約と重複してはいけません。たとえば、10.8.0.0
(/28
)はほとんどの新しいプロジェクトで機能します。作成されるサブネットは非表示になり、ファイアウォール ルールと NAT 構成には使用できません。
現在予約されている IP 範囲は、Google Cloud コンソールで確認します。
サブネットの操作について確認してください。
(省略可)コネクタを詳細に制御するためのスケーリング オプションを設定するには、[スケーリング設定を表示] をクリックしてスケーリング フォームを表示します。
- コネクタのインスタンスの最小数と最大数を設定するか、デフォルト値(最小 2、最大 10)を使用します。コネクタは、トラフィックの使用量に応じて指定された最大値にスケールアウトしますが、トラフィックが減少してもスケールインしません。
2
~10
の範囲の値を使用する必要があります。 - [インスタンス タイプ] メニューで、コネクタに使用するマシンタイプを選択するか、デフォルトの
e2-micro
を使用します。インスタンス タイプを選択すると、右側にコスト サイドバーが表示され、帯域幅とコストの見積もりが表示されます。
- コネクタのインスタンスの最小数と最大数を設定するか、デフォルト値(最小 2、最大 10)を使用します。コネクタは、トラフィックの使用量に応じて指定された最大値にスケールアウトしますが、トラフィックが減少してもスケールインしません。
[作成] をクリックします。
コネクタの使用準備が整うと、コネクタ名の横に緑色のチェックマークが表示されます。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
gcloud
コンポーネントを最新バージョンに更新します。gcloud components update
プロジェクトで Serverless VPC Access API が有効になっていることを確認します。
gcloud services enable vpcaccess.googleapis.com
独自のサブネットを必要とする共有 VPC を使用している場合は、次のコマンドでコネクタを作成します。
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --region REGION \ --subnet SUBNET \ # If you are not using Shared VPC, omit the following line. --subnet-project HOST_PROJECT_ID \ # Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max. --min-instances MIN \ --max-instances MAX \ # Optional: specify machine type, default is e2-micro --machine-type MACHINE_TYPE
次のように置き換えます。
CONNECTOR_NAME
: コネクタの名前。これは Compute Engine の命名規則に従う必要がありますが、ハイフン(-)は 2 文字とカウントして、21 文字未満にする必要があります。REGION
: コネクタのリージョン。これは、サーバーレス サービスまたはジョブのリージョンと一致する必要があります。サービスまたはジョブがus-central
またはeurope-west
リージョンにある場合は、us-central1
またはeurope-west1
を使用します。SUBNET
: 未使用の/28
サブネットの名前。- サブネットはコネクタ専用にする必要があります。VM、Private Service Connect、ロードバランサなどの他のリソースでは使用できません。
- サブネットが Private Service Connect や Cloud Load Balancing で使用されていないことを確認するには、gcloud CLI で次のコマンドを実行して、サブネットの
purpose
がPRIVATE
であることを確認します。gcloud compute networks subnets describe SUBNET
次のように置き換えます。- SUBNET: サブネットの名前。
- サブネットの操作について確認してください。
HOST_PROJECT_ID
: ホスト プロジェクトの ID。共有 VPC を使用する場合にのみ指定します。MIN
: コネクタに使用するインスタンスの最小数。2
~9
の整数を使用してください。デフォルトは2
です。コネクタのスケーリングの詳細については、スループットとスケーリングをご覧ください。MAX
: コネクタに使用するインスタンスの最大数。3
~10
の整数を使用してください。デフォルトは10
です。トラフィックで必要な場合、コネクタは[MAX]
インスタンスにスケールアウトしますが、再スケーリングは行われません。コネクタのスケーリングの詳細については、スループットとスケーリングをご覧ください。MACHINE_TYPE
:f1-micro
、e2-micro
、またはe2-standard-4
。マシンタイプやスケーリングなど、コネクタのスループットの詳細については、スループットとスケーリングをご覧ください。
より詳しい情報とオプションの引数については、
gcloud
のリファレンスをご覧ください。共有 VPC を使用していない場合、既存サブネットを使用せずにカスタム IP 範囲を指定するには、次のコマンドでコネクタを作成します。
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --network VPC_NETWORK \ --region REGION \ --range IP_RANGE
次のように置き換えます。
CONNECTOR_NAME
: コネクタの名前。これは Compute Engine の命名規則に従う必要がありますが、ハイフン(-
)を 2 文字とカウントして、21 文字未満にする必要があります。VPC_NETWORK
: コネクタを接続する VPC ネットワークREGION
: コネクタのリージョン。これは、サーバーレス サービスまたはジョブのリージョンと一致する必要があります。サービスまたはジョブがus-central
またはeurope-west
リージョンにある場合は、us-central1
またはeurope-west1
を使用します。IP_RANGE
: 予約されていない内部 IP ネットワーク。未割り振りスペースの/28
が必要です。指定された値は、CIDR 表記(10.8.0.0/28
)で示されたネットワークです。この IP 範囲は、VPC ネットワーク内の既存の IP アドレス予約と重複してはいけません。たとえば、10.8.0.0/28
はほとんどの新しいプロジェクトで機能します。この範囲用に作成されたサブネットは非表示になり、ファイアウォール ルールと NAT 構成には使用できません。
スループット制御などの詳細とオプションの引数については、
gcloud
のリファレンスをご覧ください。使用する前に、コネクタが
READY
状態になっていることを確認します。gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \ --region REGION
次のように置き換えます。
CONNECTOR_NAME
: コネクタの名前。これは、前のステップで指定した名前です。REGION
: コネクタのリージョン。これは、前の手順で指定したリージョンです。
出力には、
state: READY
という行が含まれます。
Terraform
Terraform リソースを使用して、vpcaccess.googleapis.com
API を有効にできます。
Terraform モジュールを使用して VPC ネットワークとサブネットを作成し、コネクタを作成できます。
コネクタを使用するサービスを構成する
サーバーレス VPC アクセス コネクタを作成したら、VPC ネットワークに接続する App Engine アプリ内の各サービスを構成する必要があります。
アプリ内のサービスのコネクタを指定するには:
App Engine の URL 取得サービス
URLFetchService
の使用を中止します。<vpc-access-connector>
要素をサービスのappengine-web.xml
ファイルに追加します。<vpc-access-connector> <name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name> </vpc-access-connector>
ここで、
PROJECT_ID
は Google Cloud プロジェクト ID、REGION
はコネクタが存在するリージョン、CONNECTOR_NAME
はコネクタの名前です。サービスをデプロイします。
gcloud app deploy WEB-INF/appengine-web.xml
サービスをデプロイすると、内部 IP アドレスへのリクエストを送信して VPC ネットワーク内のリソースにアクセスできるようになります。
VPC リソースへのアクセスを制限する
サーバーレス インフラストラクチャからコネクタへの上り(内向き)を許可する
コネクタ VM が Google Cloud の外部 IP アドレス範囲 35.199.224.0/19
からパケットを受信できるようにする必要があります。この範囲は、Cloud Run、Cloud Functions、App Engine のサービスがコネクタにパケットを送信できるように、基盤となる Google サーバーレス インフラストラクチャで使用されます。
サーバーレス VPC アクセスでは、コネクタの VM に適用される上り(内向き)許可ファイアウォール ルールを作成します。このファイアウォール ルールは、コネクタがターゲットの VPC ネットワークと同じプロジェクト内にある場合、35.199.224.0/19
からのパケットを許可します。コネクタがスタンドアロン VPC ネットワークをターゲットにしている場合、またはコネクタが共有 VPC ネットワークをターゲットとしていて、コネクタがホスト プロジェクトにある場合、コネクタとそのターゲット VPC ネットワークは同じプロジェクトにあります。
共有 VPC サービス プロジェクトでコネクタを作成する場合、共有 VPC ホスト プロジェクトのセキュリティ管理者またはプロジェクト オーナーは、35.199.224.0/19
からのパケットを許可し、コネクタ VM に適用される上り(内向き)許可ファイアウォール ルールを作成する必要があります。上り(内向き)許可の VPC ファイアウォール ルールの例を次に示します。
gcloud compute firewall-rules create RULE_NAME \ --action=ALLOW \ --rules=TCP \ --source-ranges=35.199.224.0/19 \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY \ --project=PROJECT_ID
次のように置き換えます。
- RULE_NAME: 新しいファイアウォール ルールの名前。例:
allow-vpc-connector-ingress
- VPC_CONNECTOR_NETWORK_TAG: ユニバーサル コネクタ ネットワーク タグ
vpc-connector
を使用すると、VPC ネットワーク内のすべてのコネクタにルールを適用できます。また、コネクタに固有のネットワーク タグを使用することもできます。固有のネットワーク タグの形式はvpc-connector-
REGION-
CONNECTOR_NAME です。ここで、REGION はコネクタの Google Cloud リージョン、CONNECTOR_NAME はコネクタの名前です。 - VPC_NETWORK: コネクタがターゲットとする VPC ネットワークの名前。
- PRIORITY: 0~65535 の整数。たとえば、0 は最も高い優先度に設定されます。
- PROJECT_ID: コネクタがターゲットとする VPC ネットワークを含むプロジェクトのプロジェクト ID。
コネクタ VM による VPC ネットワーク リソースへのアクセスを制限する
VPC ファイアウォール ルールまたはファイアウォール ポリシーのルールを使用して、コネクタのターゲット VPC ネットワーク内のリソースへのアクセスを制限できます。これらの制限は、次のいずれかの方法で実現できます。
- ターゲットがコネクタ VM のアクセスを制限するリソースを表し、ソースがコネクタ VM を表す上り(内向き)ルールを作成します。
- ターゲットがコネクタ VM を表し、宛先がコネクタ VM へのアクセスを制限するリソースを表す下り(外向き)ルールを作成します。
次の例は、各方法を示しています。
上り(内向き)ルールを使用してアクセスを制限する
ネットワーク タグまたは CIDR 範囲を選択して、VPC ネットワークへの受信トラフィックを制御します。
ネットワーク タグ
次の手順は、コネクタのネットワーク タグに基づいて、VPC ネットワークへのアクセスを制限する上り(内向き)ルールを作成する方法を示しています。
ファイアウォール ルールを挿入するために必要な権限を付与されていることを確認してください。次のいずれかの Identity and Access Management(IAM)ロールを付与されている必要があります。
- Compute セキュリティ管理者のロール
compute.firewalls.create
権限が有効にされているカスタム IAM ロール
VPC ネットワーク間のコネクタのトラフィックを拒否します。
コネクタのネットワーク タグからの上り(内向き)を拒否するには、VPC ネットワークで優先度 1000 未満の上り(内向き)ファイアウォール ルールを作成します。これによって、デフォルトでサーバーレス VPC アクセスが VPC ネットワークに作成する暗黙的なファイアウォール ルールがオーバーライドされます。
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
次のように置き換えます。
RULE_NAME: 新しいファイアウォール ルールの名前。例:
deny-vpc-connector
PROTOCOL: VPC コネクタから許可する 1 つ以上のプロトコル。サポートされているプロトコルは
tcp
またはudp
です。たとえば、tcp:80,udp
は、ポート 80 経由の TCP トラフィックと UDP トラフィックを許可します。詳細については、allow
フラグのドキュメントをご覧ください。セキュリティと検証のために、次のサポートされていないプロトコルのトラフィックをブロックする拒否ルールを構成することもできます。
ah
、all
、esp
、icmp
、ipip
、sctp
。VPC_CONNECTOR_NETWORK_TAG: すべてのコネクタ(今後作成されるコネクタを含む)のアクセス権を制限する場合はユニバーサル コネクタ ネットワーク タグ。または、特定のコネクタのアクセス権を制限する場合は一意のネットワーク タグ。
- ユニバーサル ネットワーク タグ:
vpc-connector
一意のネットワーク タグ:
vpc-connector-REGION-CONNECTOR_NAME
次のように置き換えます。
- REGION: 制限するコネクタのリージョン
- CONNECTOR_NAME: 制限するコネクタの名前
コネクタ ネットワーク タグの詳細については、ネットワーク タグをご覧ください。
- ユニバーサル ネットワーク タグ:
VPC_NETWORK: VPC ネットワークの名前
PRIORITY: 0~65535 の整数。たとえば、0 は最も高い優先度に設定されます。
コネクタ トラフィックを受信する必要があるリソースに対するコネクタのトラフィックを許可します。
allow
フラグとtarget-tags
フラグを使用して、VPC コネクタでアクセスする VPC ネットワーク内のリソースに対して上り(内向き)ファイアウォール ルールを作成します。このルールの優先度は、前の手順で作成したルールの優先度よりも低い値に設定します。gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
次のように置き換えます。
RULE_NAME: 新しいファイアウォール ルールの名前。例:
allow-vpc-connector-for-select-resources
PROTOCOL: VPC コネクタから許可する 1 つ以上のプロトコル。サポートされているプロトコルは
tcp
またはudp
です。たとえば、tcp:80,udp
は、ポート 80 経由の TCP トラフィックと UDP トラフィックを許可します。詳細については、allow
フラグのドキュメントをご覧ください。VPC_CONNECTOR_NETWORK_TAG: すべてのコネクタ(今後作成されるコネクタを含む)のアクセス権を制限する場合はユニバーサル コネクタ ネットワーク タグ。または、特定のコネクタのアクセス権を制限する場合は一意のネットワーク タグ。これは、前のステップで指定したネットワーク タグと一致する必要があります。
- ユニバーサル ネットワーク タグ:
vpc-connector
一意のネットワーク タグ:
vpc-connector-REGION-CONNECTOR_NAME
次のように置き換えます。
- REGION: 制限するコネクタのリージョン
- CONNECTOR_NAME: 制限するコネクタの名前
コネクタ ネットワーク タグの詳細については、ネットワーク タグをご覧ください。
- ユニバーサル ネットワーク タグ:
VPC_NETWORK: VPC ネットワークの名前
RESOURCE_TAG: VPC コネクタがアクセスする VPC リソースのネットワーク タグ。
PRIORITY: 前のステップで設定した優先度よりも小さい整数。たとえば、前のステップで作成したルールの優先度を 990 に設定した場合は、980 を試してください。
ファイアウォール ルールの作成に必須のフラグとオプション フラグの詳細については、gcloud compute firewall-rules create
のドキュメントをご覧ください。
CIDR 範囲
次の手順は、コネクタの CIDR 範囲に基づいて、VPC ネットワークへのアクセスを制限する上り(内向き)ルールを作成する方法を示しています。
ファイアウォール ルールを挿入するために必要な権限を付与されていることを確認してください。次のいずれかの Identity and Access Management(IAM)ロールを付与されている必要があります。
- Compute セキュリティ管理者のロール
compute.firewalls.create
権限が有効にされているカスタム IAM ロール
VPC ネットワーク間のコネクタのトラフィックを拒否します。
コネクタの CIDR 範囲からの上り(内向き)を拒否するには、VPC ネットワークで優先度 1000 未満の上り(内向き)ファイアウォール ルールを作成します。これによって、デフォルトでサーバーレス VPC アクセスが VPC ネットワークに作成する暗黙的なファイアウォール ルールがオーバーライドされます。
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
次のように置き換えます。
RULE_NAME: 新しいファイアウォール ルールの名前。例:
deny-vpc-connector
PROTOCOL: VPC コネクタから許可する 1 つ以上のプロトコル。サポートされているプロトコルは
tcp
またはudp
です。たとえば、tcp:80,udp
は、ポート 80 経由の TCP トラフィックと UDP トラフィックを許可します。詳細については、allow
フラグのドキュメントをご覧ください。セキュリティと検証のために、次のサポートされていないプロトコルのトラフィックをブロックする拒否ルールを構成することもできます。
ah
、all
、esp
、icmp
、ipip
、sctp
。VPC_CONNECTOR_CIDR_RANGE: アクセスを制限するコネクタの CIDR 範囲
VPC_NETWORK: VPC ネットワークの名前
PRIORITY: 0~65535 の整数。たとえば、0 は最も高い優先度に設定されます。
コネクタ トラフィックを受信する必要があるリソースに対するコネクタのトラフィックを許可します。
allow
フラグとtarget-tags
フラグを使用して、VPC コネクタでアクセスする VPC ネットワーク内のリソースに対して上り(内向き)ファイアウォール ルールを作成します。このルールの優先度は、前の手順で作成したルールの優先度よりも低い値に設定します。gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
次のように置き換えます。
RULE_NAME: 新しいファイアウォール ルールの名前。例:
allow-vpc-connector-for-select-resources
PROTOCOL: VPC コネクタから許可する 1 つ以上のプロトコル。サポートされているプロトコルは
tcp
またはudp
です。たとえば、tcp:80,udp
は、ポート 80 経由の TCP トラフィックと UDP トラフィックを許可します。詳細については、allow
フラグのドキュメントをご覧ください。VPC_CONNECTOR_CIDR_RANGE: アクセスを制限するコネクタの CIDR 範囲
VPC_NETWORK: VPC ネットワークの名前
RESOURCE_TAG: VPC コネクタがアクセスする VPC リソースのネットワーク タグ。
PRIORITY: 前のステップで設定した優先度よりも小さい整数。たとえば、前のステップで作成したルールの優先度を 990 に設定した場合は、980 を試してください。
ファイアウォール ルールの作成に必要なフラグとオプション フラグの詳細については、gcloud compute firewall-rules create
のドキュメントをご覧ください。
下り(外向き)ルールを使用してアクセスを制限する
次の手順は、コネクタのアクセスを制限する下り(外向き)ルールを作成する方法を示しています。
ファイアウォール ルールを挿入するために必要な権限を付与されていることを確認してください。次のいずれかの Identity and Access Management(IAM)ロールを付与されている必要があります。
- Compute セキュリティ管理者のロール
compute.firewalls.create
権限が有効にされているカスタム IAM ロール
コネクタからの下り(外向き)トラフィックを拒否します。
サーバーレス VPC アクセス コネクタに下り(外向き)ファイアウォール ルールを作成し、確立済みのレスポンスを除き、宛先に送信トラフィックを送ることができないようにします。
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --direction=EGRESS \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --network=VPC_NETWORK \ --priority=PRIORITY
次のように置き換えます。
RULE_NAME: 新しいファイアウォール ルールの名前。例:
deny-vpc-connector
PROTOCOL: VPC コネクタから許可する 1 つ以上のプロトコル。サポートされているプロトコルは
tcp
またはudp
です。たとえば、tcp:80,udp
は、ポート 80 経由の TCP トラフィックと UDP トラフィックを許可します。詳細については、allow
フラグのドキュメントをご覧ください。セキュリティと検証のために、次のサポートされていないプロトコルのトラフィックをブロックする拒否ルールを構成することもできます。
ah
、all
、esp
、icmp
、ipip
、sctp
。VPC_CONNECTOR_NETWORK_TAG: 既存のすべての VPC コネクタと今後作成される VPC コネクタにルールを適用する場合は、ユニバーサル VPC コネクタのネットワーク タグを使用します。または、特定のコネクタを制御する場合は、一意の VPC コネクタのネットワーク タグを使用します。
VPC_NETWORK: VPC ネットワークの名前
PRIORITY: 0~65535 の整数。たとえば、0 は最も高い優先度に設定されます。
コネクタがアクセスするように設定した CIDR 範囲内に宛先が存在する場合に、下り(外向き)トラフィックを許可します。
allow
フラグとdestination-ranges
フラグを使用して、特定の宛先範囲でコネクタからの下り(外向き)トラフィックを許可するファイアウォール ルールを作成します。宛先範囲には、コネクタにアクセスを許可する VPC ネットワーク内のリソースの CIDR 範囲を設定します。このルールの優先度は、前の手順で作成したルールの優先度よりも低い値に設定します。gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --destination-ranges=RESOURCE_CIDR_RANGE \ --direction=EGRESS \ --network=VPC_NETWORK \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --priority=PRIORITY
次のように置き換えます。
RULE_NAME: 新しいファイアウォール ルールの名前。例:
allow-vpc-connector-for-select-resources
PROTOCOL: VPC コネクタから許可する 1 つ以上のプロトコル。サポートされているプロトコルは
tcp
またはudp
です。たとえば、tcp:80,udp
は、ポート 80 経由の TCP トラフィックと UDP トラフィックを許可します。詳細については、allow
フラグのドキュメントをご覧ください。RESOURCE_CIDR_RANGE: アクセスを制限するコネクタの CIDR 範囲
VPC_NETWORK: VPC ネットワークの名前
VPC_CONNECTOR_NETWORK_TAG: 既存のすべての VPC コネクタと今後作成される VPC コネクタにルールを適用する場合は、ユニバーサル VPC コネクタのネットワーク タグを使用します。または、特定のコネクタを制御する場合は、一意の VPC コネクタのネットワーク タグを使用します。前のステップで一意のネットワーク タグを使用した場合は、一意のネットワーク タグを使用します。
PRIORITY: 前のステップで設定した優先度よりも小さい整数。たとえば、前のステップで作成したルールの優先度を 990 に設定した場合は、980 を試してください。
ファイアウォール ルールの作成に必須のフラグとオプション フラグの詳細については、gcloud compute firewall-rules create
のドキュメントをご覧ください。
コネクタを管理する
サービスからの下り(外向き)トラフィックの制御
デフォルトでは、内部 IP アドレスと内部 DNS 名へのリクエストのみが、サーバーレス VPC アクセス コネクタ経由で転送されます。appengine-web.xml
ファイルで、サービスの下り(外向き)設定を指定できます。
下り(外向き)設定には URL 取得サービスとの互換性がありません。まだ行っていない場合は、URLFetchService
の使用を中止します。urlfetch
ライブラリを使用すると、下り(外向き)設定は無視され、リクエストはサーバーレス VPC アクセス コネクタ経由でルーティングされません。
App Engine サービスの下り(外向き)動作を構成するには:
サービスの
appengine-web.xml
ファイルの<vpc-access-connector>
要素に<egress-setting>
要素を追加します。<vpc-access-connector> <name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name> <egress-setting>EGRESS_SETTING</egress-setting> </vpc-access-connector>
次のように置き換えます。
PROJECT_ID
は、Google Cloud プロジェクト ID に置き換えます。REGION
は、コネクタが存在するリージョンに置き換えます。CONNECTOR_NAME
は、コネクタの名前に置き換えます。EGRESS_SETTING
は、次のいずれかに置き換えます。private-ranges-only
: デフォルト。IP アドレス範囲(RFC 1918 と RFC 6598)または内部 DNS 名へのリクエストのみが VPC ネットワークに転送されます。その他のリクエストはすべて直接インターネットに転送します。all-traffic
: サービスからの送信リクエストをすべて VPC ネットワークに転送します。その後、リクエストは VPC ネットワークのファイアウォール、DNS、ルーティングの各ルールに従って処理されます。すべての送信リクエストを VPC ネットワークに転送すると、サーバーレス VPC アクセス コネクタによって処理される下り(外向き)の量が増加し、料金が発生する可能性があります。
サービスをデプロイします。
gcloud app deploy WEB-INF/appengine-web.xml
VPC ネットワークからサービスを接続解除する
VPC ネットワークからサービスの接続を切断するには、appengine-web.xml
ファイルから <vpc-access-connector>
要素を削除し、サービスを再デプロイします。
トラフィックがなく、接続解除されている場合でも、コネクタの料金は引き続き発生します。詳細については、料金をご覧ください。不要になったコネクタは削除して、請求が発生しないようにしてください。
コネクタを更新する
Google Cloud コンソール、Google Cloud CLI、または API を使用して、コネクタの次の属性を更新したり、モニタリングしたりできます。
- マシン(インスタンス)タイプ
- インスタンスの最小数と最大数
- 最近のスループット、インスタンス数、CPU 使用率
マシンタイプを更新する
コンソール
サーバーレス VPC アクセスの概要ページに移動します。
編集するコネクタを選択して、[編集] をクリックします。
[インスタンス タイプ] リストで、目的のマシン(インスタンス)タイプを選択します。使用可能なマシンタイプについては、スループットとスケーリングのドキュメントをご覧ください。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
コネクタのマシンタイプを更新するには、ターミナルで次のコマンドを実行します。
gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --machine-type=MACHINE_TYPE
次のように置き換えます。CONNECTOR_NAME
: コネクタの名前。REGION
: コネクタのリージョンの名前。MACHINE_TYPE
: 目的のマシンタイプ。使用可能なマシンタイプについては、スループットとスケーリングのドキュメントをご覧ください。
インスタンスの最小数と最大数を減らす
インスタンスの最小数と最大数を減らすには、次の操作を行います。
- 目的の値で新しいコネクタを作成します。
- 新しいコネクタを使用するようにサービスまたは関数を更新します。
- トラフィックを移行したら、古いコネクタを削除します。
詳細については、サーバーレス VPC アクセス コネクタを作成するをご覧ください。
インスタンスの最小数と最大数を増やす
コンソール
サーバーレス VPC アクセスの概要ページに移動します。
編集するコネクタを選択して、[編集] をクリックします。
[最小インスタンス数] フィールドに、目的のインスタンスの最小数を選択します。
このフィールドに設定可能な最小値は現在の値です。このフィールドに設定可能な最大値は、[最大インスタンス数] フィールドの現在の値から 1 を引いた値になります。たとえば、[最大インスタンス数] フィールドの値が 8 の場合、[最小インスタンス数] フィールドに設定可能な最大値は 7 になります。
[最大インスタンス数] フィールドでインスタンスの最大数を選択します。
このフィールドに設定可能な最小値は現在の値です。このフィールドに設定可能な最大値は 10 です。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
コネクタのインスタンスの最小数または最大数を増やすには、ターミナルで次のコマンドを実行します。
gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --min-instances=MIN_INSTANCES --max-instances=MAX_INSTANCES
次のように置き換えます。
CONNECTOR_NAME
: コネクタの名前。REGION
: コネクタのリージョンの名前。MIN_INSTANCES
: 目的の最小インスタンス数。- このフィールドに設定可能な最小値は
min_instances
の現在の値です。現在の値を確認するには、現在の属性値を確認するをご覧ください。 - このフィールドに設定可能な最大値は、現在の
max_instances
の値から 1 を引いた値になります。これは、min_instances
をmax_instances
より小さくする必要があるためです。たとえば、max_instances
が 8 の場合、このフィールドに設定可能な最大値は 7 です。コネクタがデフォルトのmax-instances
値(10)を使用する場合、このフィールドに設定可能な最大値は 9 になります。max-instances
の値を確認するには、現在の属性値を確認するをご覧ください。
- このフィールドに設定可能な最小値は
MAX_INSTANCES
:- このフィールドに設定可能な最小値は
max_instances
の現在の値です。現在の値を確認するには、現在の属性値を確認するをご覧ください。 - このフィールドに設定可能な最大値は 10 です。
インスタンスの最大数を増やさずに最小数だけを増やす場合でも、インスタンスの最大数を指定する必要があります。逆に、インスタンスの最小数を更新せずに最大数を更新する場合でも、インスタンスの最小数を指定する必要があります。インスタンスの最小数または最大数を現在の値のままにするには、現在の値を指定します。現在の値を確認するには、現在の属性値を確認するをご覧ください。
- このフィールドに設定可能な最小値は
現在の属性値を確認する
コネクタの現在の属性値を確認するには、ターミナルで次のコマンドを実行します。
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT次のように置き換えます。
CONNECTOR_NAME
: コネクタの名前。REGION
: コネクタのリージョンの名前。PROJECT
: Google Cloud プロジェクトの名前。
コネクタの使用状況をモニタリングする
使用状況の推移をモニタリングすると、コネクタの設定を調整するタイミングを判断するのに役立ちます。たとえば、CPU 使用率が急激に上昇した場合は、より良い結果を得るためにインスタンスの最大数を増やすことができます。また、スループットが上限に近づいている場合は、より大きなマシンタイプに切り替えることができます。
Google Cloud コンソールを使用してコネクタのスループット、インスタンス数、CPU 使用率の指標の推移を表示するには:
サーバーレス VPC アクセスの概要ページに移動します。
モニタリングするコネクタの名前をクリックします。
表示日数を 1~90 日の間で選択します。
[スループット] グラフで、グラフにカーソルを合わせると、コネクタの最近のスループットが表示されます。
[インスタンス数] グラフで、グラフにカーソルを合わせると、コネクタによって最近使用されたインスタンスの数が表示されます。
[CPU 使用率] グラフで、グラフにカーソルを合わせると、コネクタの最新の CPU 使用率が表示されます。グラフには、インスタンスの CPU 使用率の分布が表示されます(50、95、99 パーセンタイル)。
コネクタを削除する
コネクタを削除する前に、接続中のサービスまたはジョブがないことを確認してください。
共有 VPC ホスト プロジェクトでコネクタを設定した共有 VPC ユーザーの場合は、gcloud compute networks vpc-access connectors describe
コマンドを使用して、特定のコネクタを使用するサービスまたはジョブが存在するプロジェクトを一覧表示できます。
コネクタを削除するには、Google Cloud コンソールまたは Google Cloud CLI を使用します。
コンソール
Google Cloud コンソールで、サーバーレス VPC アクセスの概要ページに移動します。
削除するコネクタを選択します。
[削除] をクリックします。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
コネクタを削除するには、次の
gcloud
コマンドを使用します。gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION
次のように置き換えます。
- CONNECTOR_NAME は、削除するコネクタの名前に置き換えます。
- REGION は、コネクタが配置されているリージョンに置き換えます。
トラブルシューティング
サービス アカウントの権限
Google Cloud プロジェクトでオペレーションを実行するために、サーバーレス VPC アクセスはサーバーレス VPC アクセス サービス エージェントのサービス アカウントを使用します。このサービス アカウントのメールアドレスは、次の形式になります。
service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com
このサービス アカウントには、デフォルトでサーバーレス VPC アクセス サービス エージェントのロール(roles/vpcaccess.serviceAgent
)が設定されています。このアカウントの権限を変更すると、サーバーレス VPC アクセスのオペレーションが失敗する可能性があります。
エラー
サービス アカウントでサービス エージェントのロールが必要であるというエラー
「リソース サービスの使用を制限する」という組織のポリシーの制約を使用して Cloud Deployment Manager(deploymentmanager.googleapis.com
)をブロックすると、次のエラー メッセージが表示されることがあります。
Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.
組織のポリシーを設定して、拒否リストから Deployment Manager を削除するか、許可リストに追加します。
コネクタ作成エラー
コネクタの作成でエラーが発生した場合は、次の方法をお試しください。
- VPC ネットワーク内で予約されている既存の IP アドレスと重複しない RFC 1918 の内部 IP 範囲を指定します。
- プロジェクトから ID
serverless-vpc-access-images
で Compute Engine VM イメージを使用できるように、プロジェクトに権限を付与します。状況に応じて組織のポリシーを更新する方法については、イメージ アクセスの制約を設定するをご覧ください。
リソースにアクセスできない
コネクタを指定しても、VPC ネットワーク内のリソースにアクセスできない場合は、コネクタの IP アドレス範囲からの上り(内向き)を拒否する、優先度 1000 よりも小さいファイアウォール ルールが VPC ネットワーク上に存在しないことを確認してください。
共有 VPC サービス プロジェクトでコネクタを構成する場合は、ファイアウォール ルールでサーバーレス インフラストラクチャからコネクタへの上り(内向き)が許可されていることを確認してください。
接続拒否エラー
ネットワーク パフォーマンスが低下する connection refused
エラーが発生した場合、サーバーレス アプリケーションの呼び出し間で接続が制限なしで増加している可能性があります。インスタンスごとに使用される最大接続数を制限するには、接続プールをサポートするクライアント ライブラリを使用します。接続プールの使用方法を説明する詳しい例については、データベース接続を管理するをご覧ください。
リソースが見つからないエラー
VPC ネットワークまたはファイアウォール ルールを削除すると、次のようなメッセージが表示される場合があります。The resource
"aet-uscentral1-subnet--1-egrfw" was not found.
このエラーとその解決方法については、VPC ファイアウォール ルールのドキュメントのリソースが見つからないエラーをご覧ください。
次のステップ
- サーバーレス VPC アクセスの監査ロギングを使用して管理アクティビティをモニタリングする。
- VPC Service Controls を使用してサービス境界を作成して、リソースとデータを保護する。
- サーバーレス VPC アクセスに関連付けられている Identity and Access Management(IAM)のロールについて学習する。各ロールに関連付けられている権限の一覧については、IAM のドキュメントのサーバーレス VPC アクセスのロールをご覧ください。
- App Engine スタンダード環境から Memorystore に接続する方法を学習する。